ISOに関するQ&A

Q1:ISOを認証取得することでどんなメリットがあるのでしょうか?

A1:よく言われるのは、「社内の業務が可視化される」「PDCAサイクルが根付く」「お客様からの信頼を得られる」といったことです。ただ、本当に重要なのはお客様自身がISOの仕組みを通じて何を得たいか、であると思います。ISOは経営のツールとも言われるように、使い方次第で得られる効果も変わってきます。取引先の信頼を獲得することにも使えますし、組織を強くするために活用することもできます。

 

Q2:ISO/IEC27001を認証取得するメリットは何でしょうか?

A2:ISOのメリットはそれを使う組織にとって様々ですが、目に見えない「情報」を大切に取り扱う、という文化が根付くことは大きなメリットです。情報セキュリティ対策のひとつのポイントとして、一人ひとりのモラル、リスクセンスが重要であるとも言われており、それらを組織的に高めることができます。

 

Q3:認証取得にはどれくらいの期間が必要でしょうか?

A3:コンサルタントを利用すれば通常半年~9ヶ月ほどになります。お客様の事情によるといえます。お急ぎの場合は5ヶ月程度で取得することもできますし、自社で数年かけてじっくり取り組むという方法もあります。

 

Q4:コンサルタントを使わずに独力での取得もできるのでしょうか?

A4:はい、コンサルタントを使わずに独力で取得することも可能です。自分たちで考えて使える仕組みを作っていけるというメリットもあります。ただ、余計な対策や文書を作ってしまう、技術的な対策に隔たってしまう、といった失敗例も多くございます。ISMSは技術標準ではなくマネジメントシステム規格ですので、その専門家の力を使うことをお勧めします。

 

Q5:認証の範囲を事前に決めるとのことですが、どのように決めればよいのでしょうか?

A5:認証の範囲を一般的に適用範囲と言いますが、これは非常に重要です。よく吟味して決める必要があります。「お客様から要求されている部署だけで取得する」というのをよく見かけますが、「適用範囲を絞るリスク」も十分に検討する必要があります。当社コンサルティングでは、適用範囲の決定についても事前ヒアリングでご相談いただけるようになっております。

Q6:認証取得にあたり、自社で準備しなければならないことはありますか?

A6:取り立てて事前に何かを準備するということは不要です。当社コンサルティングでは、お客様の業務を第一で考えることから、すでに存在するルールや手順書を必要に応じて開示いただいておりますので、ご協力いただければと思います。

Q7:専任の担当者が必要ですか?

A7:必須ではございません。兼任で十分です。ISOは経営のツールですので、それを導入するのに専任が必須というのは仕組みに問題があるといえます。当社コンサルティングでは、兼任でも十分運用できるような仕組みの構築をご支援します。

Q8:多くの文書を作成しなければならないと聞いて心配なのですが?

A8:ISOには「文書化要求」というものがあり、文書によって定義しなければならない手順がいくつかございます。ただ、必ず文書化が求められるのは文書管理、内部監査等に限られており、それ以外はリスクに応じて文書化の程度を決められることがほとんどです。当社コンサルティングでは、過剰文書とならないよう、文書化が必須なところとそうでないところにメリハリをつけます。

Q9:審査ではどのようなことを聞かれるのでしょうか?

A9:○×で正解を求められるようなことはありません。業務内容や体制といった全体的な確認から入り、どんなリスクがあるか、何故その対策なのか、といったことが聞かれます、自分たちの仕組み、対策に説明責任を果たせることが重要です。

Q10:審査で不合格になることはあるのでしょうか?

A10:審査で不合格になることはほとんどありません。不合格になるのは、内部監査やマネジメントレビューといったPDCAの大きな要素がまるっきり行われていなかったり、法令違反が見つかったりした場合です。その場合「重大な問題」として指摘が入り、一旦審査が中断されます。当社コンサルティングは、お客様が認証取得できるまでご支援しております。

↑このページのトップへ戻る

 

サービス内容

ISOコンサルティング

サーバー・Web構築

 

業務支援

 

マイナンバー対策

 


 

ご質問・お問合せは

お問合せはこちらから

Copyright (C) 2016 Value up Japan Co.,Ltd. All Rights Reserved.